小马博客

一个无聊的人,一个无聊的博客

一、IIS 5.x/6.0解析漏洞 IIS 6.0解析利用方法有两种 1.目录解析 /xx.asp/xx.jpg 2.文件解析 wooyun.asp;.jpg 第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。...

发布 1 条评论

Zarp具体介绍:http://www.freebuf.com/tools/10991.html 1.首先Zarp不能在windows下运行,它会检查uid,uid只有linux有。 2.python环境不能小于2.7,我用的是python2.7.3(用python2.6.6会报错) 装好python2.7.3后运行Zarp会报如下错误:...

发布 0 条评论

首先添加管理员账号 执行命令 useradd -u 0 -o -g root -G root -d /home/admin admin 说明: -u 0 指将uid指定为0(零)与root相同,登录后的提示符为#而非$. -o 指因为重复了uid(与root帐号的uid重复)必须指定这个参数. -g root 初...

发布 2 条评论

刚刚装好Kali的时候,我就惊奇的发现Gerix居然被删除掉了,查了一下才发现原来是因为Gerix默认装的是QT4,而Gerix是QT3的,要安装到Kali上面比较麻烦,另一个破解攻击fern用得我蛋疼,无法看到具体信息也无法导出握手包,简直是太恶心...

发布 0 条评论

目前有很多网站做了rewrite,如   /?id=1 /1 /1111.php   大趋势下,攻击的门槛逐渐增高。这样有利有弊,喜欢研究的会深入钻研,另一方面只会用工具不懂原理的则充斥到大小论坛水区。 实战举例:   http://www.bxxxx...

发布 1 条评论

貌似很多朋友拿着库,用BAT 或者PHP读取TXT的形式来扫,文件太大了的话,1,2分钟估计都查不出来,因为导入库是一个不错的方法,很多都不知道怎么搭建的吧,用MSSQL或则ORACLE来搭建的,个人感觉没那必要,原因在于安装他们需要的空间...

发布 14 条评论

前言:作者是个懒人,又犯了五月病,什么都懒得做,编辑了好几次文章,后来都不了了之了 但是时间紧迫,下个月就要跨省去外地了,看见大家好像对狗狗很有热情,所以就一口气把一篇笔记发出来了 本来没有那么长的,越写越长,本来是想...

发布 0 条评论

web应用一般采用基于表单的身份验证方式(页面雏形如下图所示),处理逻辑就是将表单中提交的用户名和密 码传递到后台数据库去查询,并根据查询结果判断是否通过身份验证。对于LAMP架构的web应用而言,处理逻辑采用PHP,后台数据库采...

发布 1 条评论

一,目的:熟悉msfvenom生成木马程序过程,并执行和监听控制. 二,工具:MSF 三,原理:msfvenom是msfpayload,msfencode的结合体,它的优点是单一,命令行,和效率.利用msfvenom生成木马程序,并在目标机上执行,在本地监听上线 四,过程: 1,查看帮...

发布 2 条评论